nand拆焊 XBOX360拆解修复：我在厨房解决了万年诟病的三红问题

发布时间 : 2024-11-24

作者 : 小编

访问数量 : 23

扫码分享至微信

XBOX360拆解修复：我在厨房解决了万年诟病的三红问题

前言

微软在XBOX之后又推出了XBOX360电视游戏机，这一款游戏机有着更好的硬件性能，更棒的手柄和数量众多的独占游戏，是当年的玩家首选主机之一，但是有一些在整个生命历程中都让玩家诟病的问题，又使得这台主机比同期PS3更需要折腾。

XBOX共有三个大版本，分别是XBOX360（俗称厚机），XBOX360Elite，XBOX360 Slim，其中厚机又有四个版本，以CPU和GPU制程来区分

它的配置如下：

3.2 GHz PowerPC Tri-Core Xenon中央处理器500 MHz ATI Xenos图形处理器512 MB GDDR3 内存

在这次，我以极低的价格搞来了一套XBOX 360主机，两位数售价的同时，带有视频线和变电器，四舍五入简直不要钱！但是，这是一台出现了典型红灯问题的主机，不过现在可是2020年，我通过无厘头的特殊办法解决了这个问题。具体怎么样，请看接下来的文章

注：文中有一些可能引起不适的灰尘描写，如果有地方描述错误，请告知

Part1. 一台凉了的XBOX360

拿到后，用的是一个破泡沫箱子来装，外壳看起来没有严重缺损

很早以前还在上学的时候，我也同样有这样的一套主机，许多游戏给我留下很深的印象，在后面为了能够有PS3，就变卖成人民币了

附带的线同样有严重的脏污，但是看起来还能使用

这一条线是色差+AV线，可通过开关进行切换

XBOX360的输出线缆非常之巨大，内部有芯片用于转换输出

将所有的东西拿出来后，可以看到全套设备外观状态还可以

线缆有发黄变色的现象

为了处理这种发黄，我将接头用保鲜袋包好后，再把线缆浸泡到过氧化氢中

XBOX360主机没有自带硬盘，需要玩家自行购买，而在当初那会儿，硬盘的价格也是很惊人的

360手柄算是最早的PC标准手柄布局了，微软毕竟是Windows的开发公司，所以360手柄标准很快普及到各个厂家。XBOX360有线手柄用USB接口和XBOX360进行通讯

电源接口并不是常见的类型，接头同样做的非常巨大

XBOX360厚机可以依据电源插头判断主机版本，因为每个版本所需要的电流并不一样，每个主机都有一个名称，我这一台单65nm版本带有HDMI，命名为FALCON

先试着给主机上电，这台主机的灯可以点亮，说明电源适配器没有问题

但是在连接HDMI线后，先是出现1红

重新启动，直接变成了3红，几十秒后主机自动关机

对着这一套外壳发呆没用，这下需要拆开来看看如何处理了。

Part2.拆解与修复

要拆XBOX360其实没有很难，首先顺着USB口，往外用力一掰，卸下前部分的面板，使得防尘盖+1

要卸下底部需要顶起卡扣。我用细小的螺丝起子戳底部的散热孔从而达到这一个目标。这台机器明显之前被人暴力拆过，一些地方卡扣已经断裂失效，所以更好拆了一些

拆下后可以看到，除了中央的两个卡扣其他已经悉数断裂

再来是拆解上部的外壳，同样，插入到散热孔中就能完成

确定卡扣弹起后再取下即可，如果有不明白的地方可以去找一下视频

从拆开的部分获得了一些碎片

拆解上下部分后，可以隐约的看到内部的电路以及电子元件，微软产品堆料在机电这一块特别充足，然而却因为PCB和散热设计吃了不良口碑

拆下的两个件以及碎片

在之后，用力的一掰就打开了，因为这一台已经拆过所以好掰一点。

在屏蔽壳周围都有明显的氧化痕迹

打开后，看到整机的全貌，光驱占据了大半部分

这一堆东西占据了整机的大部分重量，高达1.5Kg，结果居然和我相机差不多。

光驱采用的是SATA接口，而边上还有一个用稳压二极管制作的神秘部件

先把光驱拿下

边上的部件用了两组8个稳压二极管，用于提供给风扇电力，可能调速部分损坏或者转速的阈值设置太高。

前人从这里的一个电容器上引出12V供电，本身是DC调压来调整转速的，虽然看起来是三线，但实际上有两条线都是VCC

在拿下DVD后，可以看到全貌，比较大的散热器是镇压CPU的，而发热更大的GPU不但压在光驱下面，而且仅仅使用了一根单热管增加散热大小

从灰尘来判断，这一台单65nm XBOX360主机并没有使用很长的时间

拿下后，我对风扇的扇叶进行简单的清理，因为是封闭风扇，后面标签下并没有轴心孔让我得以拆开它

微软设计的方案是把开机，状态指示灯，无线手柄适配器和天线都集成在一块前面板的PCB子板上面，所以最快解决三红的办法就是把这个板子卸掉

拆下后可以进一步把PCB从金属壳体内拿出来

这一块电路小而精致，同时可以看到一些修改设计，比如说贴片改BGA

接下来是卸载掉固定PCB的螺丝，和PC主板相比，XBOX360主板周遭的所有的螺丝螺纹都在PCB的直插件上，比如USB插座、电源插座，也因此没有需要一颗螺母，是一个减少工艺流程的巧妙设计

背面同样具有一些元器件，XBOX360的PCB厚度其实并没有什么问题，最大的问题还是在散热和散热器固定这一块。

拆下后，PCB大观如下，一些电压转换元器件被安排在电源接口附近，这些电感在通电后发热特别大，如果开机后再关机，可能你不会被散热器烫伤但会被电感给烫到

北桥， NAND，GDDR3内存，数模转换器，在PCB上都可以清晰的看到，他们看起来没有很大的发热所以也就没有上单独的散热片

元器件设计和PCB设计其实已经是很高的一个水平，代表着同期的微软硬件设计，在2005年左右的部分PC都没有这样的高集成度和高性能设计。我认为它的败笔是在工业设计这一块。

三红问题主要就是GPU脱焊，什么是脱焊，就是焊点和GPU的焊点没有正常的接在一块儿，XBOX360自检出现硬件问题出场就会三红。因此，为了解决三红，我们需要先把这个散热器给它拆了

拆解后的两大块散热，铝合金就不吐槽了，单热管设计压制ATI大功率GPU，也多亏他们会想得出来

一大坨的硅脂，我使用酒精+棉签来清理

清理后可以看清楚微软的Logo

先启动一下试试，在不固定情况下先把这块板子插入到接口上

用热成像仪可以看到有正常的上电，有明显发热，这一情况说明GPU还有救

如果说没有上散热器，自检检测到发热异常会停止CPU和GPU的工作，并亮起二红

Part3. 我在家，要如何修复三红

在早期时候，修复三红是通过重新BGA返修游戏机的GPU，然后上加固板，BGA是一种芯片工艺，最大特点就是没有显而易见的引脚，现在大多数微型化的高端芯片和高速芯片都是使用BGA工艺的

而BGA返修的流程一部分大概是下图这样的，节选自百度经验

鉴于很多人可能只有螺丝刀，既没有BGA返修台，也没有热成像仪甚至连带热电偶的万用表都没有，这个方法多数时候只能快递到商家那边处理。而这样的问题处理一下加邮费就是80+，而且很可能会再复发（这很常见）。

为了解决三红，玩家自创有一些土方法，比如什么上电后让GPU自己发热，从而融化焊锡，或者让PCB形变减小，等等

有没有办法自己来解决呢，想了一下，BGA返修的流程前几部分比如拆焊，植锡球，这些我都可以省略，我最需要的是让GPU的引脚接触不良问题得到改善

最直接的方法，直接采用BGA返修程序的最后一步，加热PCB和BGA元件，让焊锡接触不良问题得到解决

而这一过程需要用到的工具，就是，这个！底部的加热盘能产生热辐射，并且支持干烧，没有电磁炉的温度保护功能，效率高，直接电热转化。

可以说这就是家里面最接近BGA返修台的功能的工具，使用它来预热PCB，然后辅佐以热风枪加热元件GPU的上部分就可以

我用两根筷子做成一个支架把PCB和锅体发热部分隔离，方便控制温度和散热

用热成像仪器来观察PCB当前的状态，控制到150度左右就可以了，此时BGA返修的最后步骤已经完成

加热中

加上散热器，并且重新的涂上导热硅脂

开机，绿灯旋转

我连接的是AV线所以比较不清晰，但确实证明，三红的问题已经修好了。

测试一下按键，一切都很正常的样子

这一台机器里面没有任何的资料，XBOX360厚版没有存储器必须使用U盘，存储卡，任一一个来存储记录

导致三红情况，还有一个问题是固定散热器导致的PCB问题，没有夹板使得PCB被散热器“掰弯”，这一点后面很多人都清楚，所以也都有增加夹板的改装

为了解决这个问题我找了一块亚克力板的碎片，先固定一下

为了方便把垫片上上去使用耐热胶带固定

最后拧好螺丝就可以了

将XBOX360的主板放回到金属外壳内，一些孔位缺少螺丝，我也给补上了

接下来，改装一下散热，XBOX360的这个风扇是工业设计上的败笔，我之所以这么认为是因为它居然风向是向外的，也就设计成抽风，但是因为本身的风压不大，所以会让主机的温度变得很高。常说的嗓子大，干活不行就是这种。

所以，要改成向内的，这个风扇侧面是梯形设计（实在是莫名其妙），必须把上面部分搓平了才能反向塞回去

这样，就变成向里面吹风了

接着，裁剪亚克力薄板，做一个导流罩，让风能进入到该去的地方

又因为风扇改装过了，所以没有必要再用高转速，我额外添加了一组稳压管，使得风扇转速再次的下降。当然这种设计从省电角度考虑没有很对，只是为了符合那个时代。

热缩管套一套，防止短路，有时候开机时候短路也会导致三红问题，实践出真知。

经过改装，开机五分钟后CPU部分的温度在40度以内，待机温度大大的降低了。

Part4.翻新与组装

表面脏污使用800号进行打磨，之前一些网友问我，这样磨砂不就没了吗，有时候舍不得孩子套不到狼，白色磨砂手摸才有感觉，然而多数时候满足观感我觉得更重要

红外遥控部分有划痕，我用600号先行打磨去掉上面的划痕

在按照1000-1500-2000-2500-3000-5000顺序进行打磨，最后打磨到7000号砂纸时候已经比较光滑了，此时直接上8000和10000的打磨膏配合纸巾或眼镜布擦拭

最终效果如下

XBOX的外壳结构其实挺简单的，所以我主要是对于表面进行打磨，从而处理划痕以及污渍

把PCB子板安装回去

可能很多人包括我自己会觉得应该先上靠近底部的外壳，然而事实上，因为这垃圾工业设计，使得你必须先上另一块才能合并主机

所以，要先上带有光驱的那部分外壳

合并两个外壳后，安装上下两部分的壳体

到这里，XBOX360的拆解，维修，翻新，就全部完成了，不过感觉缺点东西所以我又买了一个国产硬盘盒子。带有一整套高质量的贴纸

结构挺简单的，不过做工和用料都不错，应该是模仿原装的产品

我另外买了一个320GB的普通机械硬盘，就专门拿来存游戏。不过这一台仅仅是光驱破解，可能要再研究一下脉冲破解的方法

硬盘盒和主机之间使用一个卡扣来固定，厚机硬盘盒子在主机外侧，薄机则改成内置插槽

把贴纸全部都贴上，QC标识就不贴了，挡螺丝

最终，组装完成的XBOX360整机如下

到这里，本篇文章就结束了

不知道在青少年时候，这台主机有给你留下怎么样的印象呢？欢迎讨论

嵌入式设备硬件PCB级逆向

本文介绍一些实用的PCB级硬件逆向的基础技术，可用于研究者和白帽团体分析未知的硬件。SEC Consult运营的硬件安全专用实验室是SEC Consult安全实验室的一部分。下面展示的研究只是硬件实验室众多研究中的冰山一角。

今天，我们生活在一个被嵌入式设备统治的世界中。每个人都可能生活在各种各样的窥探、监控中。受安全漏洞影响的路由器、网络摄像头、智能手机和其他嵌入式设备，是极易被攻击的。最近爆发的Mirai病毒事件和其他LoT恶意软件更加说明了这一点。无论是出于好奇还是应顾客要求进一步提高产品的安全性，想要深度审计该类设备的固件，我们都需要拆卸下来，好找到调试接口。只有通过对系统进行调试和运行，才能揭示其中的隐秘之处。由于该过程具有一定的破坏性，故通常会对设备造成损坏。因此，要想进行深入的分析，仅准备一台设备是不够的！

如何从熟知的设备开始？

为了节省昂贵的嵌入式分析费用，一个简单快捷方法是替换固件。大型公司很容易在引进大批IoT设备之前委托安全咨询公司对该产品的内置固件进行测试，以此最大程度地降低系统的安全风险。不过，对用户和业余爱好者来说，选择并不多，他们能安装的固件多来源于第三方如OpenWRT。尽管这些固件的性能不见得一定比原生的（原生固件是针对该专有芯片指令集开发的）更加出色，但在安全性方面，确实如此。当我们在完成对已知设备的安全审计的任务时，硬件分析的部分通常简化为在网上的相关论坛（通常是OpenWRT Wiki）寻找相关资料。

硬件黑客——识别无文档设备的调试接口

要对一个完全未知的普通设备刷写固件，简直就是一个难以完成的任务。故而，我们需要逐步剖析硬件电路，以便检查其所用的固件及检测固件的安全漏洞。不过，对硬件电路进行逆向工程并不是一件简单的事，尤其是专有芯片集电路，好在一些基本的分析技术还是适用的。在我们的例子中，Broadcom（博通公司）的SoC作为Belkin F9 K1106as（Belkin:贝尔金公司）无线中继器的核心部件。我们用该设备作为例子并不是我们对它别有兴趣，而是它的芯片集也用在众多社区支持的其他设备上。为了识别该SoC的引脚，我们将它接上专用电源。打开设备的外壳，便是PCB板了。我们第一个目的是串行连接到设备，以获得shell或至少访问到引导装载程序。

图：Belkin F9 K1106as PCB图及其不同模块

要识别金属防护罩保护的模块，最简单的办法是拆掉防护罩。

图：用钳子打开静电防护罩

仅为了逆向分析出隐藏在PCB板上的调试引脚接口，我们不必将全部的防护罩拆除。借助暴露在PCB上的UART接口（译者注：通用异步收发器，详见百度百科）可以实现最初的调试，因为把UART直接接到以11520

Baud 8n1为终端的FT2322H板上，可以获取得root

shell。相比于其他接口，很容易就可以辨认出UART，它只有两个针脚，接收端及发送端。进行串行通信并非总是UART，但这能帮助我们缩小可能性。一组3-5针的引脚通常是UART接口，这是开发PCB时预留的。

UART通常的引脚排布为（GND|RX|TX|VCC）或（GND|TX|RX|VCC）。

那JTAG（译者注：联合测试工作组，详见百度百科）在哪呢？该标准允许开发者或有经验的黑客轻易地控制CPU、在运行阶段调试SoC和对flash进行读取和编程以及运行自检测试。这个问题可以如此作答：用JTAG暴力工具。SEC

Consult开发的工具（包括硬件和软件）附带有该功能，当然，网络上也有许多用于该目的的工具。由于有效的调试针脚为4-5针，PCB板上部的10个针脚看起来像是JTAG。

图：暴力检测JTAG针脚

图：SEC Consult安全实验室开发的硬件分析工具“SEC Xtractor”

经过暴力检测后，终于找出了针脚！为了保持完整性，也标记了UART接口。

图：JTAG引脚

至于JTAG适配器，用的是廉价的迷你FT2322H模块。

图：通过迷你FT2232H模块连接到JTAG

连接到OpenOCD的请求给出了如下结果：

图：OpenOCD输出

该芯片似乎有一个ID为0x2535717f的32位的指令寄存器。此前，我们所知的仅是该Broadcom SoC标签为BCM5358UB0KFBG。现在，我们有更多的了解了——不过是针对该具体的设备；JTAG接口可以用来控制芯片及对系统底层的访问。

硬件黑客——抓取固件

提取固件，是完善该SoC信息池的最后一步。一个Macronix的串行flash芯片安装在PCB背面。花几分钟用flashrom和FT2322H即可读取出其中的内容。从datasheet上可以快速找出其引脚定义：

图：Macronix SPI flash芯片引脚

将flash芯片从PCB板上取下后，置于转接器上并启动flashrom：

图：用flashrom读取SPI存储器

转储文件包括整个程序存储器和暂存数据（NVRAM）。用flashrom重写固件并芯片焊接回去是刷第三方固件的另一种方法。通过调用“binwalk-Adump.bin”，得到许多的“MIPSEL”（MIPS

little endian）指令，这让我们不禁假设：该Broadcom SoC 是基于通用MIPSEL32

CPU的。SOP封装的串行flash芯片是最容易读取的flash，更具挑战性的NAND和NOR

flash芯片，由于其复杂的接口、狭小的封装和数目众多的引脚，操作起来甚是困难。

通过IoT Inspector对转储文件进行初步分析显示，该固件存在一些基本的安全风险，同时也获取到该设备使用的软件信息。由于我们分析的是老旧设备，一些安全漏洞可以追溯到2007年：

图：IoT Inspector报告摘录

硬件黑客——逆向SoC引脚

正如先前所述，如果得到了SoC的引脚定义，那么我们将可以对任何使用BCM5358UB0KFBG的设备进行逆向。为此，大多数情况下我们可以用热风枪将BGA封装的芯片拆焊下来。

图：热风枪返修台

图：拆下SoC后的Belkin PCB

根据SoC的引脚连接情况，结合datasheet的相关资料以及针脚对地/电源（GND/VCC）电压的测定和逻辑推断，我们得出该芯片部分重要引脚的功能定义。

图：BCM5358U0KFBG芯片部分引脚功能定义

显然，BCM535x系列芯片有着相似的引脚定义。https://wikidevi.com网站收集有计算机硬件的相关信息，当然也包括Broadcom SoC系列。我们找到了下面的条目：

图：来源: https://wikidevi.com

观察包含该类芯片的其他路由器的图片可以发现，芯片的引脚功能都是大同小异。

Wikidei网站包含众多硬件的相关信息，除此之外，制造商提供的相关文档也非常详尽。中国似乎是唯一一个各个品牌路由器的生产国。

硬件黑客——来自中国的供应链

所有这些中国制造的电子产品，芯片、外围设备、路由器等，经常是由同一家工厂组装完成的。结果很明显，这些产品的质量都在一个等级，一些工厂也为相互竞争的市场供应商生产产品。我们来看看两张华硕RT-N53路由器和Belkin F9 K1106无线中继器的内部图片。这PCB板上的标识简直就是一摸一样，是不是？

图：华硕PCB，来源：https://apps.fcc.gov/

图：Belkin PCB

巧合吗？并不像啊。这些标识的字体是ELCAD（电脑辅助电子设计）软件默认设置的，如果不是强制要求，开发者是不会去改动的。这意味着相同的模板重用于华硕PCB的开发，甚至更多其他供应商。因此，同一家ODM（原设计制造商）负责设计制造包括Belkin在内各品牌的产品。

在嵌入式设备生产中，这并不是什么不常见的生产形式，尤其是对于来自US的公司。其中的固件多半也是亚洲供应商基于标准的亦或是定制的SDK开发的。

愈演愈烈的后门事件大都是逻辑上的缺陷——正如我们之前看到过的：

http://blog.sec-consult.com/2017/06/ghosts-from-past-authentication-bypass.html

http://blog.sec-consult.com/2016/12/backdoor-in-sony-ipela-engine-ip-cameras.html

http://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/

http://www.devttys0.com/2013/10/from-china-with-love/

本文由看雪翻译小组 StrokMitream 编译，来源SecConsult@Thomas Weber，转载请注明来自看雪社区